La oveja de fuego: el nuevo monstruo de las galletas

Posiblemente ya conozcáis cuál es el trend topic de las últimas 48 horas en Internet. Firesheep, una pequeña extensión para Firefox que permite capturar las cookies que vuelan libremente por las redes inalámbricas no-seguras.

Las cookies se emplean en los servicios de internet para no tener que estar introduciendo el password continuamente, es una forma automática de identificarse sin necesidad de almacenar el password en ningún lugar del ordenador (ya que entonces podría leerse de alguna forma). Una cookie en sí misma es inofensiva, no contiene ninguna información vital, es un trozo de texto más o menos aleatorio. Pero la cookie nos da acceso a partes privadas de ciertos servicios en internet.

Haciendo un símil podemos comparar una cookie con la llave de nuestra casa. El introducir la contraseña de Facebook sería equivalente a mostrar las escrituras de tu casa para poder entrar en ella; sólo se hace una vez, y a partir de ahí una cookie sería a tu cuenta en Facebook lo que una llave es a tu casa: un sistema rápido para poder entrar siempre que quieras sin tener que estar pidiendo permiso siempre. Además puedes darle la llave a quien creas que es de confianza, como vecinos o aplicaciones externas. Lo que ocurre con las redes WiFi desprotegidas es que revelan esta llave (cookie) cada vez que la usamos, y terceras personas pueden extraerla y usarla sin tu permiso, como si tú le hicieras una foto a tu vecino abriendo la puerta de su casa y luego recrearas una llave a partir de la imagen capturada.

Las consecuencias es que haciendo uso de estas cookies capturadas al vuelo un tercer usuario puede introducirse en nuestra cuenta. Las formas de evitarlo es protegiendo o bien la llave o bien el medio. Podemos proteger la llave poniéndole una cobertura (Secure Sockets Layer se llama) que aparte de no dejar que se vean los detalles, permite verificar que la llave sea la original. También podemos proteger el medio, usando una WiFi segura (WPA2) que actúa como si echásemos una granada de humo en el descansillo de nuestro piso. Así no sólo podemos usar la llave sin que nos la copien, sino que también podemos hacer cualquier cosa sin que los vecinos cotilleen.

Así que tenemos dos problemas, WiFis abiertas y llaves desprotegidas. El primero es complicado de resolver ya que se necesitan WiFis abiertas en muchas partes (bibliotecas, cafeterías, etc). El segundo es un problema que lo tiene que resolver los proveedores de estos servicios en internet. Google ya lo hace con Gmail.

Mientras tanto, un desarrollador sacó el fin de semana pasado una sencilla herramienta para hacer que cualquier persona pueda capturar las llaves desprotegidas que circulan a través de su red inalámbrica. Aquí está el enlace: Firesheep. La repercusión de esta acción ha sido tremenda. Me parece una forma curiosa de llamar la atención frente a una vulnerabilidad: facilitando el acceso a dicha vulnerabilidad por prácticamente cualquier usuario. La caja de Pandora ha sido abierta. Estoy deseando ver cómo reaccionan por una parte los grandes proveedores de servicios (Facebook, Flickr, entre otros muchos), y por otra los propios usuarios.

Con este artículo aporto mi granito de arena ayudando a la difusión y el entendimiento de este hecho.